注册
个人空间
本文主要是介绍在Redhat 7.1下使用最近的BIND版本9.1.3来设置一个在chroot
环境下运行的BIND服务程序,进一步加强BIND的安全。
何谓chroot? chroot就象匿名FTP,如果我们把bind chroot到/chnamed目录运行,
则named在运行时将认为/chnamed是实际的根目录,即使named有某种安全漏洞
被人攻破,也只能存取到该目录而已。
二 操作环境
Redhat Linux 7.1 ,BIND 9.1.3(从www.isc.org)下载,公司域名为domain.com,
专线接入internet,在防火墙上运行BIND为公司域名domain.com进行DNS解析。
三 操作步骤
1. 编译bind 9.1.3
下载最新的版本从www.isc.org,当前版本是9.1.3
cd /tmp
tar xvfz bind-9.1.3.tar.gz
cd bind-9.1.3
./configure
make
make install
经过上面的步骤,bind的各种后台程序默认被安装到/usr/local/bin
和/usr/local/sbin 。
2. 准备chroot环境
登录作为root, 创建下面的目录结构
/chnamed
+-- dev
+-- etc
| +-- named
+-- var
+-- run
# mknod /chnamed/dev/null c 1 3
# cp -a /etc/localtime /chnamed/etc
修改/etc/rc.d/init.d/syslog 中的 start部分改daemon为下面的行
daemon syslogd $SYSLOGD_OPTIONS -a /chnamed/dev/log
然后用/etc/rc.d/init.d/syslog restart重启syslogd后台。
3. 准备rndc 配置文件
rndc是BIND的管理程序,可以用来启动,停止和重新装入配置文件等等。我们用
下面的命令生成hmac-md5键。
# /usr/local/sbin/dnssec-keygen -a hmac-md5 -b 128 -n user rndc
这将生成两个包括密码的文件,把密钥串放入文件rndc.conf和named.conf中。
然后修改/etc/rndc.conf中相应部分成下面的
options {
default-server localhost;
default-key rndc_key;
};
server localhost {
key "rndc_key";
};
key rndc_key {
algorithm "hmac-md5";
secret
"c3Ryb25nIGVub3VnaCBmb3IgYSBtYW4gYnV0IG1hZGUgZm9yIGEgd29tYW4K";
| 论坛热门帖子: | [lch203] 写得蛮好的linux学习笔记(10-21) [黑马制造] 学习java的30个目标(10-19) [笑傲股林] 做测试半年了,有点迷茫,应该再学些什么提高自己的测试水平和测试能力呢?(10-19) [udp8589] 大家用google的来吱一声? 用百度的~~也来报道下?(10-18) [沂偌掳兆] 本人总结的一些认为C++比较经典的书籍,希望对大家有用(10-18) |
| TAG标签: | 设置 如何 面的 文件 named 目录 运行 BIND 配置 启动 |
